Únase a nosotros el 30 de abril: Presentación de la prueba CT de Parasoft C/C++ para pruebas continuas y excelencia en el cumplimiento | Regístrese ahora
Saltar a la sección
Por qué API Security es la nueva línea del frente en seguridad de aplicaciones
Sábado, Abril 1, 2021
3 min leer
La seguridad de la aplicación no se puede completar sin probar la seguridad de la API en sus aplicaciones. Aquí hay una sesión de preguntas y respuestas con un experto en seguridad sobre el lugar de la seguridad de la API de OWASP y SAST para lograr la seguridad de la aplicación.
Saltar a la sección
Saltar a la sección
¿Cómo está abordando los desafíos de la seguridad de las API?
Se han producido recientes brechas de seguridad que aprovechan las API para robar datos de clientes. Las API se utilizan ampliamente en aplicaciones empresariales. Por eso, debe concentrarse más de cerca en la seguridad de la API durante el proceso de validación del software. Esta es un área que aún está emergiendo en términos de conciencia, implementación y propiedad.
Además, la seguridad de la API combina todos los desafíos habituales de software de prueba de API con los desafíos de las pruebas de seguridad de aplicaciones tradicionales (AST).
Recientemente tuve la oportunidad de hablar con Sandy Carielli, analista principal de Forrester Research, sobre sus pensamientos sobre la seguridad de las aplicaciones, pruebas de seguridad de aplicaciones estáticas (SAST), y el API OWASP Los 10 principales en seguridad.
Me complace compartir una vista previa de los conocimientos expertos de Sandy sobre las pruebas de seguridad de API. Sandy será la invitada destacada en nuestro próximo seminario web en 22 de abril de 2021, a las 9 a.m.PT.
Seminario web: Proteja las aplicaciones con OWASP API Security Top 10 y SAST
Preguntas y respuestas sobre las pruebas de seguridad de API con la invitada destacada Sandy Carielli, analista principal de Forrester Research
Q: La seguridad de las aplicaciones es cada vez más importante. ¿Qué importancia tiene la seguridad de la API para los esfuerzos generales de seguridad?
A: La seguridad de la API es vital para los esfuerzos generales de seguridad. Las API se han convertido en un componente central de las aplicaciones modernas, y muchos equipos de desarrollo crean sus aplicaciones para que sean "API primero". Eso significa que si la API no está protegida, la aplicación no está protegida. Hemos visto numerosos casos de infracciones debido a API desprotegidas o mal implementadas. Las violaciones de API han revelado las compras de los clientes, la información de la cuenta del usuario e incluso el estado de COVID-19 de los hogares del otro lado del mundo.
Q: OWASP ha sido fundamental para la seguridad de las aplicaciones con su formación gratuita y su lista Top 10. ¿Tendrá el OWASP API Security Top 10 el mismo impacto para la seguridad de API?
A: Esto parece estar sucediendo ya. Los usuarios buscan el Top 10 de seguridad de API de OWASP como punto de partida para comprender lo que deben considerar. No puedo decirles con cuántos proveedores he hablado que traen el Top 10 de seguridad de API de OWASP como parte de cómo apoyan la seguridad de API de los clientes. Son frecuentes los problemas como la autenticación rota, la autorización rota y la exposición excesiva de datos. Dicho esto, el OWASP Top 10 no resolverá todos sus problemas de seguridad, necesita mirar de manera más integral la seguridad de API que solo el OWASP API Security Top 10. Para muchos equipos, la seguridad de API comienza con saber qué API hay en su entorno.
Q: Por lo general, el desarrollo y la prueba carecen de conocimientos de seguridad. ¿Cómo pueden los equipos de seguridad compartir sus conocimientos de manera eficaz de manera que permitan a otras personas ayudar en el proceso de AST / AppSec?
A: Los campeones de seguridad para desarrolladores son una excelente manera para que los equipos de seguridad escalen su conocimiento a la organización de desarrollo y desarrollen su credibilidad con los desarrolladores. Los campeones de seguridad para desarrolladores son miembros de los equipos de desarrollo que están capacitados en los principios básicos de seguridad de las aplicaciones. Primero son desarrolladores, pero también aportan conocimientos y defensa de seguridad a su equipo local. Los campeones responden preguntas de seguridad básicas de los miembros del equipo de desarrollo, y también tienen relaciones con el equipo de seguridad para comunicarse cuando surgen problemas más complejos.
Q: Las organizaciones ya cuentan con numerosas herramientas AST. ¿Satisfacen las necesidades de seguridad de la API o los ingenieros necesitarán algo más?
A: Muchas herramientas de AST no prueban las API, aunque algunos proveedores están comenzando a ampliar sus capacidades u ofrecer herramientas adicionales que se centran en las API. Trabaje con su proveedor de AST para comprender hasta qué punto admite las API de prueba y esté preparado para incorporar herramientas o servicios adicionales para complementar lo que no ofrece. Hasta que tenga un conjunto completo de herramientas de prueba que analicen las API, considere agregar algunos servicios de prueba de penetración centrados en API a la mezcla.
Q: ¿Cómo funciona el análisis estático (El domingo) encaja en una estrategia de prueba de seguridad de API?
A: Si las herramientas de análisis estático pueden ayudar a identificar fallas en las definiciones de API, serán una parte valiosa del proceso de prueba de API previo al lanzamiento. Al igual que con la seguridad general de las aplicaciones, ninguna herramienta resolverá todos sus problemas, pero el análisis estático es eficaz para encontrar problemas en las primeras etapas del desarrollo, idealmente en los contextos de los desarrolladores, lo que facilita la reparación. Una herramienta SAST con reconocimiento de API lo ayudará a encontrar y corregir fallas de seguridad de API en las primeras etapas del ciclo de vida.
